Google corrige bug quatro meses depois de ser notificada sobre risco de segurança a clientes Gmail e G Suite

Na última quarta-feira (19), a Google corrigiu um bug de segurança que pode ter permitido o envio de e-mails falsos imitando qualquer cliente do Gmail ou G Suite, de acordo com o ZDNet.

De acordo com a publicação, a marca sabia do bug desde abril, porém corrigiu somente sete horas após pesquisadora de segurança, que informou a empresa sobre a falha, expor detalhes da exploração em seu blog.

Quatro meses depois de informar a Google sobre a falha, Allison Husain, pesquisadora de segurança, decidiu tornar público o que havia encontrado. Ela relatou que o bug também permitiu que os anexadores passassem os e-mails falsos como compatíveis com SPF (Sender Policy Framework) e DMARC (Domain-based Message Authentication, Reporting, and Conformance), dois dos padrões de segurança de e-mail mais avançados.

Os engenheiros do Google planejavam corrigir o bug em setembro, porém mudaram de ideia, quando Husain publicou detalhes da vulnerabilidade em seu blog, incluindo código de exploração de prova de conceito.

Sete horas depois da postagem, a gigante de tecnologia disse à Husain que havia implantado medidas de mitigação para bloquear qualquer ataque que alavancasse o problema relatado – enquanto espera pelos patches finais para implantar em setembro, diz o site.

Husain explica em sua postagem que o problema do bug é na verdade uma combinação de dois fatores. O primeiro é um bug que permite que um invasor envie e-mails falsificados para um gateway de e-mail no back-end do Gmail e do G Suite. O invasor pode executar/alugar um servidor de e-mail malicioso no back-end do Gmail e do G Suite, permitir a passagem deste e-mail e usar o segundo bug.

Este segundo bug permite que o invasor configure regras de roteamento de e-mail personalizadas que pegam e-mails recebidos e os encaminham, enquanto também falsificam a identidade de qualquer cliente do Gmail ou G Suite usando um recurso nativo do Gmail / G Suite chamado “Alterar destinatário do envelope”.

A vantagem de usar esse recurso para encaminhar e-mails é que o Gmail/G Suite também valida o e-mail encaminhado falsificado em relação aos padrões de segurança SPF e DMARC, ajudando os invasores a autenticar a mensagem falsificada, diz o site.

“Além disso, como a mensagem é proveniente do back-end do Google, também é provável que a mensagem tenha uma pontuação de spam menor e, portanto, deva ser filtrada com menos frequência”, disse Husain, ao mesmo tempo que apontou que os dois bugs são exclusivos do Google apenas.

As mitigações foram implantadas no servidor, sendo assim, os clientes do Gmail e do G Suite não precisam fazer nada.